第十四章 NAT技术
14.1 作用
用于私网地址连接互联网,本质上是为了节约公网地址。
设备对报文进行地址转换,或者是地址和端口一起转换,会形成映射表:
- 静态映射表:静态NAT、NAT server ,可以实现双向主动发起通信
- 动态映射表:具有老化时间,只能一方向对端主动发起通信,对端回包时,设备的映射表必须没有老化。No-pat、NAPT
14.2 分类
- 静态NAT
- 实现私网地址与公网地址的一对一映射,即以私网地址为报文源地址的报文转发到互联网,经过了NAT设备,将报文中的私网地址(源地址)替换为公网地址。回包报文经过NAT设备,将报文的目的IP地址替换为私网地址。
- 不能实现地址节约,静态的映射表只能存在一对一的映射,即使地址没有在进行报文的地址转换,也不能给到其他主机使用。
- 动态NAT,No-PAT
- 地址池概念:报文经过NAT设备,从地址池中获取用于转换的IP地址,报文从私网到公网转换源地址,从公网到私网转换目的地址。
- ACL访问控制列表:用于匹配需要进行地址转换的报文。
- 一对一的动态映射,不能实现地址节约,但是地址池中地址没有进行报文的地址转换才可以给到符合条件的主机使用。
- 参考命令:
- ACL 2000 //创建acl
- Rule permit //创建规则,允许所有地址
- Nat address group 0 100.0.12.10 100.0.12.10 //创建地址池,规定地址池中的地址数量。
- Nat outbound 2000 address group 0 no-pat //接口下调用,携带no-pat参数,进行地址转换,不进行端口号转换。符合acl 2000规定才能进行地址转换。
- ACL 2000 //创建acl
- NAPT:网络地址端口转换
- 与动态相同,不同的地方是,可以进行端口转换,实现地址复用
- 多对一的映射,多个私网地址,同时转化为一个公网地址,回包时通过端口号,来区分原始私网地址。
- NAT设备私网访问公网的时候,对报文的源IP地址和源端口转换为新的公网IP地址和新的端口号。
- 参考命令:与动态Nat相同,不同点如下:
- Nat outbound 2000 address group 0 //不携带No-pat参数,表示要进行端口转换。
- Easy IP
- 与动态NAT(no-pat)和NAPT相比,没有地址池。
- 多对一的映射,多个私网地址映射为一个公网地址,带端口转换。
- 一个公网地址是出接口的公网地址。
- NAT server
- 作用:区别与之前的四种,是用于将内网的服务器映射到公网中,公网中的设备还需要访问映射出来的公网地址加端口号,就相当于访问该内网服务器IP地址加端口号。(NAT设备进行了目的IP地址的转换,由公网地址换成了私网地址。)
- 参考命令:
nat server protocol tcp global 100.0.12.100 8080 inside 192.168.10.3 www //将服务器 192.168.10.3的80端口映射到外部的100.0.12.100 地址的8080端口。